银联数据的信息安全风险评估体系

信息安全风险评估是银联数据风险管理的重要手段，以下是银联数据信息安全风险评估的部署情况介绍。

1）风险评估的总体要求

（1）信息资产风险管理过程为五个阶段：启动、信息资产分类分级、风险识别与评价、风险处置计划与实施、持续改进。

（2）按照信息安全管理体系标准，银联数据每年至少进行一次覆盖体系范围内所有信息资产的风险评估活动。

（3）每年度的风险评估活动由信息安全办公室牵头组织，各相关部门予以配合。各部门信息安全协调员负责落实本部门范围内的风险评估各项具体工作，包括提供具备专业能力的风险评估人员、完成资产分类分级、风险识别和评估，并负责本部门信息资产表和风险评估表的编写。在风险评估活动结束后，信息安全办公室进行检查与审核。

（4）按照风险评估定义的周期（每年至少一次），信息安全管理委员会提出风险评估需求，各部门应积极配合实施风险评估活动，当发生重大安全事故或组织架构变更时，由信息安全管理委员会追加风险评估活动。

（5）每年度的信息资产风险评估活动中的具体组织和实施，应与该年度的内部或外部的安全检查、监督、审计活动相结合。

2）风险评估工作的启动

当内外部环境出现变化可能影响信息资产的安全，或出现内、外部的安全检查需求时，信息安全办公室可组织和通知信息安全协调员，启动局部或全部的风险评估活动。通常包括：有关法律法规及标准的最新要求；上级主管部门的最新要求或下达的安全检查监督要求；外部和内部客户的最新安全要求或提议；业务活动出现涉及信息安全的重要变更；信息资产的属性发生较大变化并影响到其CIA属性；出现严重的安全事件并影响到信息资产的CIA属性；信息安全管理体系的范围发生变化；信息安全管理策略发生变化时。

各部门将发现或已发生并可能影响到信息资产安全或风险的各类事件及时通知信息安全办公室或部门负责人。

3）风险评估工作中的资产识别和评价

（1）信息安全协调员指定各信息资产统计人对所负责管理的资产表进行定期收集和更新。

（2）信息安全协调员或信息资产统计人负责协助完成本部门信息资产的识别、分类以及机密性（C）、完整性（I）和可用性（A）属性值的赋值工作，填写和维护本部门的信息资产表。资产CIA属性赋值工作本质上为定性分级。

（3）在信息资产完成资产属性的赋值之后，信息安全协调员根据赋值结果计算得到各项信息资产的价值，并提交银联数据信息资产表给资产所有者进行内容确认。

（4）在填写银联数据信息资产表的过程中，需充分考虑不同类别资产之间的关联性，保证不同类别资产的资产价值的一致性。

4）风险评估工作中的风险识别和评价

（1）威胁的识别与评价。

威胁是可能对信息资产造成潜在损害并进而给组织带来损失的一组客观因素，威胁是客观存在的。威胁从表现类型上又大致可分为环境威胁、意外威胁、外部人员蓄意威胁和内部人员蓄意威胁四类，每一类中都包括许多常见的威胁形式。对于每项信息资产，尤其是重要的信息资产，均应考虑其可能遭受的威胁。

识别威胁源之后，考虑到银联数据已有的控制措施对该威胁的实际控制效果，根据信息安全办公室对业务应用环境与威胁发生可能性的主观综合判断，最终确定威胁发生的可能性等级，威胁发生的可能性划分为五个等级，威胁发生的可能性等级最终将作为风险计算的一个输入项。

（2）弱点的识别与评价。

弱点是资产本身存在的某种缺陷或特性，当信息资产的弱点被威胁利用时，就可能导致信息资产被损害或破坏。通常，信息资产存在的弱点主要表现在四个方面：安全管理、网络安全、IT设备以及应用安全。其中，安全管理方面主要根据ISO27001信息安全管理标准中14个控制域进行安全管理弱点的评估；网络安全弱点评估主要从网络的安全性、可用性、访问控制策略等角度进行分析；IT设备安全评估主要通过工具扫描、人工检查的方式对IT设备进行评估；应用系统安全评估则主要通过工具扫描的方式对应用系统进行评估。

风险评估人员充分考虑各信息资产所面临的威胁和可能被利用的弱点。识别弱点之后，充分考虑银联数据目前已有的控制措施，最终确定弱点被利用的严重性等级，弱点被威胁利用后损失程度被划分为五个等级，损失程度也将作为风险计算的一个输入项。

（3）现有控制措施的识别与分析。

在识别威胁和弱点的同时，各部门信息安全协调员要对已有安全措施进行识别及有效性进行确认。在对威胁和弱点赋值时，要求考虑现有控制措施的有效性。

信息资产的风险值与信息资产的价值、威胁的可能性和弱点的严重性有直接的关系，根据矩阵表对风险级别进行判定，最终按照信息资产的不同类别，统一记录在风险评估表中。

5）风险评估处置计划及实施

（1）风险识别与评价完成后，应对所有风险项进行综合分析和确认，信息安全管理委员会管理层应根据业务准则、法律法规，并结合运营、技术、财务等因素制定风险接受准则，如下：

• 导致业务受影响的风险不可接受。

• 导致法律法规不符合的风险不可接受。

• 对公司运营造成严重影响的风险不可接受。

（2）信息安全管理委员会管理层依据风险接受准则制定风险接受水平，如下：

• 对于信息资产评估的结果，要采取控制措施进行控制。对于“高”风险，由于经济或技术原因，经信息安全管理委员会管理层审核后，可以暂时接受风险，待经济或技术具有可行性时再采取适当的措施降低风险。

• 对于“中”和“低”级别的风险，可经过内部讨论，经本部门负责人审批之后，决定是否接受，将不可接受的风险列入风险处置计划。

（3）风险处置计划是根据风险的影响程度和业务的实际情况，对确定需要处置的风险所采取的一系列控制措施的说明。控制措施可以是技术方面的，也可以是管理方面的。风险处置的措施具体包括：

• 制定相应的信息安全管理策略或制度文件进行控制。

• 通过实施必要的技术措施或技术方案进行控制。

• 作为将来持续改善的方向，列入长期改善计划。

（4）风险处置过程中风险控制措施的类型包括风险消减、风险回避、风险转嫁和风险接受。

（5）针对风险处置计划中确定的需要处置的每一项风险，选择实施相应的风险控制措施，以控制、削减、转嫁或接受该风险，必要时应制订相应的处置方案。

（6）信息安全管理委员会管理层负责批准风险评估报告与风险处置计划。由信息安全内审小组组长编写信息资产风险评估报告及风险处置计划，并交由信息安全管理委员会管理层审核，最终由信息安全管理委员会管理层审批，同时应督促各部门信息安全协调员落实风险处置计划并跟踪风险处置情况的工作进展，完成相应的风险评估和风险处置活动。

（7）风险处置计划的实施和跟踪监督。风险处置计划在获得信息安全管理委员会管理层审批后启动实施，由信息安全管理小组组长委派信息安全专员统一指挥，各部门安全接口人应组织协调必要资源进行风险处置并及时评价残余风险，确保风险处置达到预期目标。

风险处置活动开展后，信息安全专员将各部门的风险评估表和风险处置计划、处置情况和残余风险信息汇总并分析，报信息安全管理委员会管理层审核，并由信息安全管理委员会管理层审批。

风险处置活动开展后，信息安全办公室定期或在管理评审会议前，将各部门的风险评估报告和风险处置计划、处置情况和残余风险信息汇总并分析，报信息安全管理委员会管理层审批。

（8）评价残余风险。风险处置过程中选择实施了风险控制措施之后，信息安全管理委员会管理层需要再次评价对应的风险等级，判断残余风险是否符合可接受的水平。如仍不能接受，则再次重复风险处置过程，直至残余风险符合风险可接受水平。此外，在风险接受水平的具体执行方面，允许存在一些特殊情况。当残余风险仍高于可接受水平时候，风险责任人可以选择接受风险。原因包括：采取控制措施的成本过高，或伴随着风险可以带来显著收益，风险责任人可以接受该残余风险。此时应给出具体的风险描述以及违反正常风险接受水平的适当理由，并上报信息安全管理委员会管理层审批。

对每一项已符合可接受水平的残余风险或符合特殊情况，均要求在风险评估表中给出清晰、明确的说明，便于对残余风险进行控制。

风险评估报告可以作为公司总体风险管理决策的依据，使公司决策层能够清楚地了解公司面临的整体信息安全风险和风险处置措施及实施计划。

6）风险评估的持续改进

（1）信息资产面临的风险是随着业务、技术的发展进步和环境的变化而不断变化的，为了确保风险评估及风险处置的有效性，各部门需定期组织风险识别和评价，每年至少进行一次覆盖全部信息资产和信息安全管理体系的全范围风险评估。

（2）为了使全体员工了解并有效控制信息资产的风险，要求有效实施风险处置计划。

（3）信息安全办公室对各部门的风险评估、风险处置等风险管理各项具体工作提供指导，对完成情况要进行审核检查（例如，结合内审进行检查）。